[发明专利]一种智慧城市信息安全保障系统

权利要求书

1.一种智慧城市信息安全保障系统，其特征在于：包括云计算数据中心和布署在该云计算数据中心的多组虚拟机/物理服务器、数据库安全设备、Web应用防火墙、DDos防御设备、安全网关和多台核心交换机，其中，

所述安全网关采用单臂旁挂在云计算数据中心的核心交换机上，安全网关以2台为一组，分别连接在不同的核心交换机上，组成热备式HA集群，当一台安全网关设备或链路发生故障时，另一台安全网关设备能够自动接替工作，并维持会话状态，使业务不受影响；

所述DDoS防御设备以在线方式串联在云计算数据中心边界以及核心交换机上之间；

在云计算数据中心建立专门的安全Web服务区，将Web应用防火墙以透明模式串联至安全Web服务区与核心交换机之间；

在云计算数据中心建立专门的安全数据服务区，将重要数据库服务器虚拟机通过vMotion迁移到该安全数据服务区域，然后在该安全数据服务区域的接入层交换机上旁路布署数据库安全设备。

2.根据权利要求1所述的一种智慧城市信息安全保障系统，其特征在于：所述核心交换机有两种布署方式，一种是二层方式，此时各业务系统或租户的VLAN都在安全网关上终结，安全网关作为各业务系统或租户的网关；另一种是三层方式，此时各业务系统或租户的VLAN都在核心交换机上终结，核心交换机作为各业务系统或租户的网关，然后使用策略路由，将需要安全过滤的流量引导至安全网关，由安全网关处理后，再流回核心交换机继续转发。

3.根据权利要求1所述的一种智慧城市信息安全保障系统，其特征在于：所述安全网关使用一条或多条万兆链路与核心交换机相连。

4.根据权利要求3所述的一种智慧城市信息安全保障系统，其特征在于：所述安全网关与核心交换机之间使用802.1Q VLAN trunk方式连接，安全网关上添加多个VLAN子接口，分别对应不同业务系统或租户。

5.根据权利要求1所述的一种智慧城市信息安全保障系统，其特征在于：所述安全网关采用虚拟化布署，将不同业务系统或租户的VLAN接口划分到不同的虚拟域中，每个业务系统或租户的管理员可以各自对自己的安全布署和策略进行管理。

6.根据权利要求1所述的一种智慧城市信息安全保障系统，其特征在于：根据性能需求，将一台或多台负载均衡Web应用防火墙布署至安全Web服务区的前端，所以需要Web应用防火墙防护的Web服务器虚拟机都布署至安全Web服务区，利用VM迁移技术将虚拟机实时迁入或迁出安全Web服务区，无论公有云还是私有云都可以很灵活地开启或关闭Web安全防御。

7.根据权利要求1所述的一种智慧城市信息安全保障系统，其特征在于：所述Web应用防火墙还具备智能的、可识别应用的负载均衡引擎，实现多台Web服务器的流量分发及内容路由，负载均衡功能提高了资源的利用、应用稳定及服务器响应时间。

8.根据权利要求7所述的一种智慧城市信息安全保障系统，其特征在于：所述Web应用防火墙通过一个单独的SSL和XML加密处理器，Web应用流量可被更进一步的加速，该处理器能提升吞吐量处理能力，减少Web服务器的处理需求。